ニュース
» 2016年04月27日 16時22分 UPDATE

(更新)Apache Strutsに危険度「高」の脆弱性、攻撃実証コードも公開

悪用された場合に任意のコードを実行される恐れがある。

[ITmedia]

(変更履歴……記事初出時以降に開発元のバージョン表記が変更されたため、記事内容を更新しました。)

 Java WebアプリケーションフレームワークのApache Strutsで危険度「高」に分類される脆弱性が見つかり、開発元のApache Software Foundationが4月26日に情報を公開した。既に脆弱性を悪用する実証コードが公開され、攻撃が発生する恐れがあるという。

 開発元や情報処理推進機構などによると、脆弱性はDMI(Dynamic Method Invocation)機能に起因する。悪用されれば、第三者などが遠隔から任意のコードを実行する可能性がある。影響を受けるのはバージョン2.3.20.3と2.3.24.3を除く、2.3.20〜2.3.28となっている。

 Apache Software Foundationでは脆弱性を修正したバージョン2.3.20.3および2.3.24.3、2.3.28.1を公開。ユーザーに最新版の適用を呼び掛けている。また、一時的な回避策としてDMI機能の無効化もアドバイスしている。

最新版は2.3.20.3、2.3.24.3、2.3.28.1となる
脆弱性には「CVE-2016-3081」が割り当てられた

警察庁によれば、27日未明頃からこの脆弱性を抱えたシステムを探す狙いがあるとみられるアクセスが多数観測されている。

警察庁による観測状況

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -